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一 种 适用 于 分 布 式 审批 工作 流 的 多 重 短 签名 方案 
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摘 要 : 传统 单 路 线性 工作 流 难 以 满足 高 并 发 、 时 效 性 高 的 管理 事务 需求 ， 而 采用 多 层 网 状 分 布 式 架构 可 以 有 效 解 
决 此 类 问题 。 针 对 分 布 式 审批 工作 流 业 务 系 统 中 存在 的 数据 交互 安全 问题 ， 提 出 了 一 种 安全 性 较 高 、 签 名 长 度 较 短 
的 多 重 短 签名 方案 。 首 先 ， 在 随机 预言 机 模型 和 CDH 困难 问题 假设 下 ， 证 明了 签名 方案 的 安全 性 ; 基于 此 方案 设 
计 了 分 布 式 审批 工作 流 交 互 协议 ， 并 进行 了 安全 性 分 析 ; 运用 C 语言 实现 了 签名 方案 ， 并 与 同类 签名 方案 进行 了 效 
率 比 较 ; 最 后 对 基于 此 签名 方案 的 应 用 系统 的 优势 进行 了 分 析 。 结 果 表 明 ， 该 签名 方案 效率 较 高 、 计 算 量 小 ， 因 此 ， 
基于 此 方案 的 分 布 式 审批 工作 流 适用 于 高 并 发 、 时 效 性 要 求 高 的 电子 政务 系统 。 
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Short multi-signature scheme for distributed approval workflow 


Zuo Liming!?, Chen Lanlan'’, Zhou QingL? 
(a. School of Science, b. SEC Institute, East China Jiaotong University, Nanchang 330013, China) 


Abstract: Traditional single-route workflows are difficult to meet the high concurrency and time-sensitive management 
transaction requirements, and multi-layer mesh distributed architecture can effectively solve such problems. Aiming at the 
problem of data interaction security in the distributed approval workflow business system, this paper proposed a short 
multi-signature scheme suitable for distributed approval workflow with high security and short signature length. It firstly 
proved the security of the signature scheme under the random oracle model and the assumption of CDH difficult problem. 
Then, it designed a distributed approval workflow interaction protocol based on the scheme and carried out the security 
analysis. It implemented the Signature Scheme by C language and compared the proposed Signature Scheme with some 
similar signature Schemes. Finally, the paper analyzed the advantages of the application System based on this signature 
Scheme. The results show that the signature Scheme proposed has high efficiency and small amount of calculation. Therefore, 
the distributed approval workflow based on the scheme is suitable for e-government systems with the demands of high 
concurrency and time effectiveness. 
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0 引言 于 1983 年 首次 提出 ， 是 一 种 多 个 用 户 对 同一 消息 的 特殊 签 
一 名 ， 适 用 于 一 个 文件 需要 多 个 人 同时 签名 的 场景 ， 比 如 逐 层 

传统 的 工作 流 技术 面向 集中 式 应 用 ， 但 随 着 现代 企业 规 审批 的 文件 , 在 电子 商务 、 电 子 政务 等 领域 具有 广泛 的 应 用 。 

模 的 日 趋 扩 大 ， 信 息 呈 现 出 一 种 分 布 、 异 构 、 松 散 耦 合 的 状 近年 来 ， 国 内 外 许多 专家 学 者 对 多 重 签名 方案 进行 构造 与 改 
态 ， 传 统 的 工作 流 技术 已 无 法 满足 海量 数据 下 的 信息 管理 需 。 进 。2015 年 ，Sahu 等 人 喇 提 出 了 采用 双 线 性 对 的 基于 身份 的 
求 。 尤其 对 于 面向 政府 机 关 的 电子 政务 系统 , 管理 事务 繁琐 、 多 代理 多 重 签名 方案 ， 并 在 计算 Diffie-Ellman 假设 和 随机 预 
需要 层 层 审批 ， 在 高 并 发 、 时 效 性 要 求 高 的 环境 下 ， 传 统 工 言 模型 下 证 明 其 在 自 适 应 选择 身份 攻击 下 是 抗 存在 伪造 的 。 
攻 流 难以 满足 此 类 系统 需求 ， 而 采用 多 层 网 状 的 分 布 式 架构 2016 外 珍 负 采用 双 线 性 对 技术 构造 了 一 种 高 效 的 基于 
可 以 有 效 地 解决 此 类 问题 。2018 年 ，Pant11 对 分 布 式 工作 流 ”身份 EE 签名 机 制 ， 并 在 计算 性 Diffie-Hellman 困难 
管理 系统 的 代理 根据 其 功能 进行 划分 ， 并 对 代理 的 每 种 类 型 ” 假设 下 证 明了 其 在 适应 性 选择 消息 和 身份 攻击 下 是 抗 存在 性 
的 执行 过 程 进行 分 析 ， 对 流程 执行 和 资源 管理 等 关键 技术 进 ” 伪造 。2017 年 ，Pankaj 等 人 喇 提 出 了 一 种 采用 双 线 性 对 的 基 
行 了 研究 与 实现 。 但 Pan 对 分 布 式 工作 流 的 技术 研究 主要 关  ” 于 身份 的 多 代理 多 重 签名 方案 ， 并 证 明 该 方案 具有 较 高 的 效 
注 于 其 功能 ， 很 少 提 及 对 审批 信息 的 安全 性 保护 。 对 于 面向 。” 率 和 安全 性 。 还 有 一 些 学 者 相继 提出 其 他 多 重 签名 方案 631。 
政府 机 关内 部 以 及 其 他 政府 机 构 的 系统 ， 信 息 的 保密 至 关 重 但 上 述 大 部 分 签名 方案 签名 长 度 较 长 ， 在 网 络 条 件 较 差 的 环 
要 。 因 此 ， 将 数字 签名 应 用 于 分 布 式 审批 工作 流 中 ， 构 造 一 。 境 下 ， 存 在 签名 传输 、 存 储 效率 较 低 等 问题 。 因 此 ， 构 造 一 
种 适用 于 分 布 式 审批 工作 流 的 多 重 短 签名 方案 ， 对 审批 信息 。 种 签名 长 度 较 短 、 安 全 性 较 高 的 多 重 签名 具有 重要 意义 。 
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进行 保护 ， 对 采用 分 布 式 审批 工作 流 的 业务 系统 的 数据 安全 短 签名 的 概念 由 Boneh 等 人 00 首 次 提出 ,其 签名 长 度 是 
性 而 言 上 共有 重要 意义 。 DSA 签名 长 度 的 一 半 ， 具 有 更 高 的 签名 效率 。 本 文 将 短 签名 
多 重 签 名 (multi-signature, MS) 的 概念 由 Itakura 等 人 中 ” 引入 多 重 签名 ， 构造 了 一 种 适用 于 分 布 式 审批 工作 流 的 多 重 
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短 签名 方案 ， 该 方案 具有 签名 长 度 短 、 安 全 性 高 的 优势 。 人 
设计 了 相应 的 交互 协议 ， 适 用 于 需要 逐 层 审批 的 电子 政务 系 
统 ， 并 且 满 足 安全 性 高 、 数 据 量 大 、 高 并 发 、 松 耦合 的 事务 
管理 需求 。 民 

本 、 N 
1 ”安全 的 分 布 式 审批 工作 流 原 理 

如 图 1 所 示 ， 本 文 论述 的 安全 的 分 布 式 审批 工作 流 的 业 
务 系统 需要 有 密 钥 生成 中 心 (key generation centre，KGC ) 1 
和 审批 网 络 。 审 批 网 络 结构 如 图 2 所 示 ， 主 要 包括 信息 提交 eu | 
用 户 User 、 信 息 接收 节点 gar 、 退 回 节点 Fait 、 审 批 完成 节 ol 币 | | 
点 End 、 信 息 处 理 节点 mo 以 及 M 个 审批 层 4 4<i<M) ， 其 六 导 导 层 | | 
中 每 个 审批 层 中 包含 若干 个 审批 节点 Ui; ds<i<sM, 1<7<N) 。 A Az A3 AM | 
令 Uie{UinUiaw…oUiw] (i=42…,M)， 即 从 每 个 审批 层 中 选取 一 | 
个 审批 节点 , 则 选取 的 MM 个 审批 节点 ,02,…,Uw 与 节点 Start 审批 网 络 | 
以 及 End 构成 一 条 审批 链 L ， 审 批 链 中 的 每 个 节点 选取 规则 SS | 
是 选择 每 个 审批 层 中 当前 队列 最 短 的 审批 节点 ， 条 审批 图 1 系统 模型 
链 完成 一 轮 工作 流 审批 。 具 体 参数 说 明 如 表 1 所 示 。 Fig.1 System model 


CR 1 参数 列表 


Tab 1 Parameters list 


审批 层 Aa 审批 层 Az 审批 层 Am 


序号 参数 名 说 明 
1 User 信息 提交 用 户 
2 Start 盲 息 接收 节点 
3 Fail 退回 节点 
4 End 审批 完成 节点 
5 Info 言 息 处 理 节 点 
6 A 审批 层 
7 Ui 审批 节点 
8 U; 选取 的 审批 节点 
9 L 审批 链 

审批 工作 流 要 件 具 体 说 明 如 下 : 


a) 密 钥 生 成 中 心 , 主要 工作 是 为 审批 网 络 中 每 个 审批 节 
点 产生 并 分 配 密 钥 对 。 由 于 用 户 提交 的 待 审 批 信 息 具 有 私密 
性 ， 密 钥 生 成 中 心 需要 对 审批 过 程 进行 全 程 监控 ， 故 系统 需 
求 分 析 上 有 一 些 特殊 要 求 : (WD 仅 密 钥 生成 中 心 可 验证 ， 在 获 
得 密 钥 生成 中 心 授权 情况 下 被 授权 者 也 可 验证 ， 包 利用 密 角 
生成 中 心 主 密 钥 和 审批 节点 索引 号 即 可 进行 安全 认证 。 


b) 审批 网 络 。 如 图 2 所 示 , 审批 网 络 包括 若干 条 审批 链 ， 图 2 审批 网 络 结构 
对 于 一 条 审批 链 工 ={Start,U,0,…,Uy,End} ,信息 提交 用 户 提 交 Fig.2 Approval network structure 


宇 自 从 应 自 垃 上 < 有 pe fs ey a 
信息 给 信息 接收 节点 es 节点 a ah 发 送 给 2 ”多 重 短 签名 方案 设计 与 安全 性 分 析 
审批 链 工 的 第 一 个 审批 节点 UV, 。U 先 审批 信息 ， 如 果 不 满足 

审批 要 求 ， 则 将 退回 结果 和 信息 发 送 给 退回 节点 Faiz ， 否 则 。 ”2.1 数学 基础 

对 信息 进行 签名 ， 并 发 送 给 下 一 个 审批 节点 VU,。 UV; 先 验 证 定义 1 计算 性 Diffie-Hellman 问题 (computational 
签名 的 有 效 性 ， 如 果 无 效 ， 则 将 无 效 结果 和 信息 直接 退回 到 ”Diffie-Hellman, CDH)。 给 定 P.aP,bPeG ( abe 是 未 知 的 随 
节点 Fail ; 如 果 有 效 则 开始 审批 信息 ， 若 不 满足 审批 要 求 ， 机 数 )， 计 算 abP eG 是 困难 的 。 
则 
并 


虽 将 退回 结果 和 信息 发 送 给 节点 Fo ,否则 对 信息 进行 签名 ， 定义 2 ” 双 线 性 对 〈bilinear pairings)。 给 定 一 个 安全 参 
并 发 送 给 下 一 个 审批 节点 。 直 到 最 后 一 个 审批 节点 Uw 接收 数 上 ，G 为 4 阶 循环 加 法 群 ，G: 为 同 阶 循环 乘法 群 ， 其 中 
言 息 ， 先 验证 签名 的 有 效 性 ， 如 果 无 效 ， 则 将 无 效 结果 和 信 为 G 的 生成 元 , 9 为 一 个 上 -三 素数 , 则 称 上 映射 e:GxG 一 G: 为 


息 直 接 退回 到 节点 Ki ; 如果 有 效 则 开始 审批 信息 ， 若 不 满 ” 双 线 性 对 ， 如 果 满 足以 下 三 条 性 质 : 

足 审 批 要 求 ， 则 将 退回 结果 和 信息 发 送 给 节点 Fo ， 和 否则 对 a) 双 线性 性 ， 对 Va,beZ。， 有 elaP,bP)=e(P,P)”; 

审批 通过 结果 和 信息 进行 签名 ， 将 签名 发 送 给 审批 完成 节点 b) 非 退化 性 ， e(P,P)z#1; 

End 。 至 此 ， 一 条 审批 链 审批 工作 结束 。 节 点 Fail 和 End 最 c) 易 计算 性 ，Y@C,RsG ， 存 在 有 效 算法 计算 e(Q,R) 。 

终 将 审批 结果 发 送 给 信息 处 理 节 点 1njo ,节点 Imfo 再 将 审批 结 ”2.2 多 重 短 签名 方案 

果 返 回 给 信息 提交 用 户 。 一 般 多 重 短 签名 的 方案 定义 如 文献 [各 中 所 述 , 根据 前 述 
根据 以 上 系统 原理 与 需求 ， 本 文 设计 了 一 种 适用 于 分 布 。” 对 安全 审批 工作 流 的 需求 分 析 要 求 ， 本 文 构造 了 一 种 适用 于 

式 审批 工作 流 的 多 重 短 签名 方案 ， 以 此 来 提高 工作 流 系统 的 。” ”分 布 式 审批 工作 流 的 多 重 短 签名 方案 。 方 案由 系统 初始 化 、 

安全 性 ， 而 设计 一 种 安全 高 效 的 多 重 短 签名 方案 是 关键 。 审批 节点 密 钥 生成 与 注入 、 审 批 链 与 多 重 签名 、 多 重 签名 验 
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证 以 及 授权 签名 验证 五 个 高 效 算法 组 成 ， 具 体 过 程 如 下 : 
a) 系 统 初始 化 。 密 钥 生成 中 心 KGC 给 定 一 个 安全 参数 上 ， 
选择 一 个 大 素数 4 ，G 、G, 为 9 阶 循环 群 ，P 为 G, 的 生成 元 。 
选择 一 个 安全 的 双 线 性 映射 e:GxG ->G. 。KGC 随机 选择 
se2; 作为 系统 主 密 钥 ， 并 计算 B=sP 作为 主公 钥 。 选 择 安 
全 的 Hash 函数 已:{01 一 五 ， 丈 :10 一 G， 则 KGC 公布 系 
统 参 数 params ={4q,P,e, CPP , KGC 掌握 系统 主 密 钥 


So 


b) 审 批 节点 密 钥 生 成 与 注入 。 在 连接 审批 网 络 前 ， 每 个 
审批 层 的 每 个 节点 需要 在 KGC 登记 。 每 个 审批 节点 输入 身 
份 DPD ，KGC 随机 选择 一 个 密 钥 生成 标记 Kwe2;， 生 成 审批 
节点 私 钥 wp=sHi(ID,Kio,s) ， 并 秘密 保存 Ki。， 计 算 公 和 钥 
yw =xoP 。 密 钥 生 成 中 心 通过 身份 ID 建立 索引 对 审批 节点 的 
信息 进行 管理 ， 不 同 身份 的 审批 节点 使 用 不 同 的 密 钥 生成 标 
记 ， 并 通过 安全 方式 向 身份 ID 的 审批 节点 注入 密 钥 。 这 种 密 
钥 生 成 的 方式 与 已 有 的 数字 签名 方案 均 有 不 同 ， 是 为 了 实现 
前 述 特殊 要 求 的 和 @。 

cj 审批 链 与 多 重 签名 。 对 于 一 条 审批 链 
工 = {Start,Ui,U0.,…,Uw,End} ， 用 户 提 交待 审批 信息 到 信息 接收 
节点 Sar ， 如 果 该 信息 符合 所 有 审批 条 件 ， 则 会 执行 到 审批 
通过 节点 End ， 否 则 ， 退 回 到 退回 节点 Fai! 。 审 批 链 对 提交 
的 待 审批 信息 me{0,1} 具体 审批 步骤 如 下 ; 

(a) Start 具体 操作 过 程 如 下 : 设 7 为 Start 收 到 信息 m 的 时 
间 ， 用 于 记录 消息 初次 进入 审批 队列 时 间 。 将 消息 mw 和 时 间 
7 发 送 给 第 一 个 审批 节点 Ui 。 

(b) Ui 收 到 信息 后 操作 过 程 如 下 : 计算 h=H(m,7)， 
51=1Dxwmh ， 将 部 分 签名 5 、 身 份 DD、 信息 m 以 及 7 发 送 给 
下 一 个 审批 节 碟 U5。 

(Cc)U, 首先 验证 % 的 有 效 性 ， 
下 : 

iD 计算 h=H(m,7T) ; 

二) 验证 e(51,P)=elh,1Diyw) 是 否 成 立 ， 如 果 不 成 立 ， 则 将 
言 息 m 发 送 给 退回 节点 Fail 并 结束 审批 ， 否 则 U0; 继续 审批 ; 

ii) 计算 5,=51+1D,xo,h ， 将 部 分 签名 5, ， 身 份 D ，1D,， 
言 息 m 以 及 了 发 送 给 下 一 个 审批 节点 U0。 

(d) Ui (=3,4,…,M) 收 到 第 i-1 个 审批 节点 Vi 发送 的 部 
分 签名 5, ， 身 份 !D ，1D,，…，1D,,， 信息 识 以 及 TT 后， 首 
先 验 证 Si 的 有 效 性 ， | 附加 签名 ， 体 过 程 如 下 : 

iD 计算 h=H(m,7) ; 


il 
让 验证 e(54,P)= e(h,21Djyw) 是 否 成 立 ， 如 果 不 成 立 ， 
j= 


则 将 信息 mm 发 送 给 退回 节点 Fail 并 结束 审批 否则 UV; 继续 审 
批 ; 


附加 签名 ， 


体 过 程 如 


者) 计算 5.=5Sma+IDxwwh ， 则 5; 为 i 个 审批 节点 DC 
对 信息 m 的 部 分 签名 。 当 i=M 时 , 得 到 的 签名 5w 为 审批 链 工 
中 MM 个 审批 节点 01,02…,Uw 对 信息 mr 的 多 重 短 签名 。 
最 后 , 审批 节点 Uw 将 签名 Sw， 身份 ID ，1D;,…，IDn， 
盲 息 m 以 及 7 发 送 给 审批 通过 节点 End 。 
由 多 重 签名 验证 。 审 批 通过 节点 End 验证 


e(Su,P)= elh, >,1Diy,) 是 否 成 立 ， 如 果 成 立 ， 则 签名 有 效 ， 将 


审批 通过 结果 发 送 给 mi ; 否则 签名 无 效 ， 退 回 到 Fail! ，Fail 
再 将 审批 失败 结果 发 送 给 mp 。Info 最 终 将 审批 结果 进行 处 理 
并 返回 给 用 户 。 签 名 算法 正确 性 验证 如 下 : 


af M 
e(S1,P)= e(2 IDxnh, P) =e(h, > ID yp) 
i=] i=] 
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e) 授 权 签名 验证 。 密 钥 生 成 中 心 向 验证 者 公开 身份 为 ID 
的 审批 节点 对 应 的 授权 信息 2 = 可 QD,Ks,s) ， 任 何人 都 可 以 
通过 审批 节点 的 身份 Dp 和 验证 签名 的 有 效 性 。 验 证 等 式 


M 
e(Su,P) =e(H,(m,T), >,1D.Q.P,,) 
i=] 


是 否 成 立 ， 如 果 成 立 ， 则 签名 有 效 ， 确 认 审 批 通过 ， 否 则 签 
名 无 效 ， 确 认 审 批 失败 。 
2.3 ”安全 模型 与 安全 性 分 析 

定义 3 敌手 A( 签 名 攻击 算法 ) 和 挑战 者 C 之 间 的 攻击 
游戏 交互 过 程 如 图 3 所 示 ， 如 果 伪造 的 签名 5; 满足 存在 一 个 
雇 没 有 做 过 多 重 签名 询问 条 件 ， 并 在 验证 算法 中 验证 有 效 ， 
则 称 A 在 游戏 中 获胜 。 


挑战 者 C 攻击 者 A 
T T 
输入 安 | 发 送 params | 
全 参数 | -| -一 一 一 一- 一 -一 一 一 一 一 一 一 一 一 一 一 | 一 一 一 一 一 一 
k， 生 成 | 1 对 方案 中 的 Hash 函 数 ， | 
系统 公 | 1 任意 输入 Hash 函 数值 1 
| | - Diash| | 
开 参 数 | | 返回 对 应 的 Hash 值 询问 | | 
params 1 >| | 
输入 1 计算 用 户 公 钥 
Ir 2) 公 钥 ] | 
| 返回 对 应 的 公 钥 ,| 询问 ] | 
Er ea | | 
多 页 |G | | 。 输入 消息 m 身份 集 /mm 多 轮 
泛 应 | 1 交互 后 生成 多 重 签 名 ;5; | 
性 询 | * 2) 多 重 签 |1 
间 | 1 返回 对 应 的 签名 ,| | 名 询问 | 
| ee ed | pe 
输出 伪造 的 
D 关于 身份 集 
Lm 对 应 的 消 
息 /签名 对 
Cs Sox)， 游 
戏 结束 


图 3 攻击 游戏 交互 过 程 
Fig.3 Attack game interaction process 

如 果 不 存 在 概率 多 项 式 签名 攻击 算法 A 在 如 图 3 游戏 中 
获胜 ， 则 称 该 方案 在 适应 性 选择 消息 下 抗 存 在 性 伪造 攻击 。 

定理 1 在 随机 预言 机 模型 和 CDH 困难 问题 假设 下 , 本 
文 提出 的 多 重 短 签名 方案 在 适应 性 选择 消息 攻击 下 是 抗 存在 
性 伪造 的 。 
引 理 1 假设 存在 敌手 A 在 概率 多 项 式 时 间 t 内 以 不 可 
忽略 的 概率 * 攻破 本 文 方案 ， 记 H(i=1.2) 预言 机 询问 、 公 铀 
询问 和 多 重 签名 询问 次 数 分 别 为 ww (=42》、gqxr 和 gs ， 一 次 


询问 所 需 时 间 分 别 为 、t 和 4， $e(0.D) ， 则 存在 算法 C， 
在 时 间 : 


1'<t+(gsts + qxrtx + 2qnta + 2qn,tn,) 
内 以 不 可 忽略 的 优势 ，s>(e- 二 J350-5)* 解决 CDH 问题 。 


证 明 设 挑 战 者 C 挑战 的 CDH 问题 实例 为 : 给 定 
PaP,bPeG， (abeZ 未 知 )， 计 算 abPeG 。C 要 借助 A 的 能 
力求 解困 难 问题 实例 。 

设 安全 参数 为 &，C 运行 系统 初始 化 算法 ,将 aP 作为 系 
统 主 公 钥 Bm 的 值 ， 生 成 系统 参数 
params ={gq,P,e, G1,G,,Pw, Hi, H,} ,将 Params 发 送 给 A。 为 了 方 
便 后 面 的 签名 伪造 ，C 维护 一 个 特定 的 消息 集 Q ， 并 初始 化 
为 空 。 假 设 A 在 签名 询问 前 都 已 做 过 相应 的 询问 和 如 询 
问 等 前 置 询问 ， 所 有 记录 列表 初始 化 置 为 空 。 


201812.00091v1 


chinaXiv 


录用 定稿 


a) Hl 询问。C 维护 一 个 列表 ， 记 存储 结构 为 数组 
UDi,Kin,7) 。 当 A 输入 (UD,Kp) 进行 Hi 预言 机 询问 时 ，C 查询 
Ln 中 是 否 存 在 对 应 的 记录 (0D,Kp,7) ,如果 存在 , 则 返回 相应 
值 r 给 A， 否则 C 随机 选择 一 个 reZ;， 将 + 返回 给 A， 并 将 
QD,Kp,7) 记录 到 列表 中。 

b) 公 钥 询 问 。C 维护 一 个 列表 Lx , 记 存 储 结构 为 数组 
QD,i,y)。 当 A 输入 ID 进行 公 钥 询 问 时 ，C 查询 x 中 是 否 
存在 对 应 的 记录 (0D,r,y) ， 如 果 存 在 ， 则 返回 相应 的 公 钥 ”给 
A， 否 则 先 做 询问 获得 +， 计 算 公 钥 y=raP 返回 给 A， 质 
时 将 UD,7,y) 添 加 到 列表 Lx 中 。 

0c) 询问。C 维护 一 个 列表 4, ， 记 存储 结构 为 数组 
(5DT,th) 。A 输入 4m,7) 进行 下 询问 时 ，C 查询 ,中 是 否 已 
经 存在 对 应 的 记录 (m7,4, 有 )， 如果 存在 , 则 返回 其 中 相应 值 
给 A， 否 则 : 

(a)C 以 5 的 概率 随机 选择 一 个 te2Z; ， 将 twwP 返 回 给 A， 
并 将 (m7,4,h=1bP) 记录 到 Lx, 中 将 严 添 加 到 消息 集 Q 中 ; 

(b)C 以 1-5 的 概率 随机 选择 一 个 fsZy ， 将 只 返回 给 A 
并 将 (mT,4h=tP) 记 录 到 中。 

dg 多重 签 名 询问 。A 输入 消息 mm、 时 间 7T 以 及 
1D1,1D,,…,1Dj;! 上 的 部 分 签名 5;:， 进 行 关 于 身份 万 (2<j<M) 
的 部 分 签名 询问 : 
(a) 如 果 meQ，C 挑战 失败 ， 并 输出 “FAILURE”( 记 此 
事件 为 事件 ); 

(0) 如 果 mzQ ，C 从 列表 中 获得 对 应 的 记录 


QDj,Kp,,n) ,从 列表 a, 中 获得 对 应 的 记录 UDismT,t,h =1,P) ， 


计算 5=5Si+IDjrtaP ，C 把 5; 作 为 对 消息 m 的 部 分 签名 ， 并 
将 5j 返 区 给 A。 

经 过 多 项 有 界 式 次 适应 性 询问 后 ，A 停止 询问 并 输出 一 
个 关于 消息 m* 和 有 序 身份 集 5 ={1Di,1D;…1IDh} 的 有 效 多 重 
签名 5% 。 

(a) 如 果 m zgQ， 则 CC 挑战 失败 ， 并 输出 “FAILURE ”， 
( 记 此 事件 为 事件 ); 

(0 如 果 meQ2 ， 则 CC 从 列表 六 中 获取 记录 
CUP) QSisM) ， 从 列表 ,中 获取 记录 4,7",7,R)， 此 
时 所 =rbP ， 从 而 有 


M 
e(S%,P) =e(h', 2 ID’y;) 
i=l 


M 
=e(f'bP, > DraP) 
i=1 


M 
=e(>_ IDIrrapP,P)， 
i=l 


因此 C 可 以 成 功 计算 出 : 


M 1 
apP=(2 Dn) Sy» 


i=l 


所 以 C 输出 党 mrr) sy 作为 CDH 困难 问题 实例 的 一 


个 解 。 下 面 分 析 C 成 功 解决 困难 问题 的 时 间 和 优势 : 

(a) 对 有 和 ,询问 的 每 个 应 答 在 2 和 G, 中 是 均匀 分 布 

的 ， 且 应 答 都 是 有 效 的 ; 
(b) 只 有 当 询 问 阶段 事件 互 一 直 不 发 生 和 签名 伪造 阶段 

已 也 不 发 生 时 ， 多 重 签名 询问 的 应 答 才 是 有 效 的 。 事 件 互 不 

发 生 的 概率 满足 : P(E)>Q-5)* ,事件 5, 不 发 生 的 概率 满足 : 

P(E)>5 。 然 而 ， 如 果 A 没有 询问 就 伪造 了 一 个 有 效 签 


名 ， 这 种 模拟 就 存在 缺陷 ,其 发 生 概率 为 六， 所 以 C 成 功 求 


至 


.1 
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解困 难 问 题 实例 的 优势 满足 : 


1 
BAG -30 ， 


时 间 限 满足 : 
1'<t+(gsts + qrtx + 24qntn, +2qn,tn,) o 


寻 此 C 以 不 可 忽略 的 优势 2 在 多 项 式 时 间 7 内 成 功 的 解 
决 了 一 个 CDH 问题 的 实例 ， 这 与 CDH 问题 困难 性 矛盾 。 所 
以 本 文 方案 是 存在 性 不 可 伪造 的 。 因 此 定理 1 得 证 。 
3 ”应 用 协议 设计 与 安全 性 分 析 
3.1 协议 设计 

传统 的 审批 工作 流 为 单 路 线性 工作 流 ， 不 适合 在 
和 时 效 性 要 求 高 的 场合 ， 尤 其 是 某 些 需 要 多 部 门 配合 层 层 审 
批 的 电子 政务 系统 ， 而 采用 多 层 网 状 分 布 式 架构 能 有 效 地 解 
决 此 类 问题 ， 但 跨 多 个 服务 器 可 能 存在 审批 流程 出 现 安全 问 
题 。 利 用 本 文 方案 可 以 构造 了 一 个 安全 的 分 布 式 审批 工作 流 
协议 。 有 具体 协议 交互 过 程 如 下 : 

(GD) User 一 Start: 7 

(2) Start > UI: mT; 

(3) UU,: Si,ID, mT,t; 

4) VU, > U,: 5,1D,ID,,…, Dim, Tstiy; 其 中 j=3,4,…,M ; 

5) Uy > End: Sy,ID,ID,,…,IDy, m,T,t,; 

(6) End 验证 签名 9，， 若 验证 通过 ， 则 签名 有 效 ， 将 审批 完成 结果 
发 送 给 jjo ， 否 则 签名 无 效 ， 退 回 到 fail ， ail 再 将 审批 失败 结果 发 送 
给 Info’; 

(7) Info 一 User:“true” 或 “false”。 

3.2 协议 交互 过 程 的 安全 性 分 析 

1) 抗 存在 性 伪造 攻击 

从 3.1 协议 的 交互 过 程 可 以 看 出 , 节点 间 传 递 是 单 向 的 ， 
只 有 一 次 交互 , 协议 安全 性 由 签名 方案 的 安全 性 保证 。 由 2.3 
节 签 名 方案 安全 性 分 析 可 知 ， 本 文 提出 的 基于 多 重 短 签名 的 
分 布 式 工作 流 审 批 协议 在 适应 性 选择 消息 攻击 下 是 抗 存在 性 
伪造 的 。 
2) 抗 中 间 人 攻击 
本 文 构造 的 多 重 短 签名 方案 可 知 ， 恶 意 中 间 人 攻击 者 
若 要 成 功 伪造 目标 身份 的 签名 54 ， 必 须 满 足以 下 验证 等 式 : 


M 
e(Su,P)= e(h, ID;y,) 
j=l 


Ds 


洋 河 型 


而 由 2.3 节 签 名 方案 安全 性 分 析 可 知 , 当 Bw = 9p ,所 =bP 
时 ， 有 如 下 等 式 成 立 : 


M 
e(Si,P) =e(bP, > ID’r’aP) 
i=l 


M 
=e(2,ID’ rabP, P) 


i=] 


此 时 可 以 计算 出 aoP=(> prr) si ,其 中 5; 为 目标 身份 


1Dy 的 伪造 签名 ， 意 味 着 解决 了 CDH 困难 问题 。 因 此 恶意 中 
间 人 攻击 者 无 法 伪造 目标 身份 的 签名 。 

3) 抗 消息 重 放 攻 击 
在 工作 流 审批 过 程 中 采用 了 时 戳 机 制 ， 对 每 次 用 户 提交 
的 待 审批 信息 在 初次 进入 审批 工作 流 都 会 添加 时 戳 7 ， 从 而 
保证 了 信息 的 新 鲜 性 。 任 何 截 取 了 待 审 批 信息 的 攻击 者 都 不 
能 通过 重 放 再 次 通过 验证 ， 审 批 链 中 每 个 审批 节点 会 重新 对 
时 改进 行 验证 ， 若 验证 有 效 ， 则 接受 签名 ， 否 则 将 信息 退回 
并 拒绝 继续 签名 。 


4 
4.1 


Studio 2012 开发 平台 下 ， 
现 结果 如 


4.2 


分 ， 


算 。 


左 黎明 ， 


签名 方案 实现 与 效率 分 析 


方案 实现 


本 文 在 windows7 64 


位 操作 系统 的 Microsoft Visual 


采用 C 语言 实现 本 文 签名 方案 ， 实 


区 


//3. 审 批 链 与 多 重 签名 


// 计 算 h=H2(m,T) 


4 所 示 ， 方 案 核 心 代码 如 下 : 


element_from_hash(h,m,strlen(m)); 


// 


户 1 部 分 签名 


element_mul(datal, 


ID1,X1); 


element_mul(S1,datal,h); 


// 用 户 2 验证 


element_pairing(left1,S1,P);// 等 式 左 边 
element_mul(temp1,ID1,Y1);//ID1*Y1 


element_pairing(rightl,h,temp1);// 科 


/ 左右 比较 


等 式 右边 e(h,ID1*Y1) 


让 (element_cmp(rightl, left1)) 


printf(" 


else 


1 签名 无 效 ! \n"):// 左 右 不 | 


printf(" 
// 


户 1 签名 有 效 ! \n");// 左 右 相 Ff 
用 户 2 部 分 签名 


El 


El 


element_mul(datal,ID2,X2); 


element_mul(temp4,datal,h); 


element_add(S2 
// 用 户 3 验证 


,Sl1,temp4); 


element_pairing(left1,S2,P):/ e(S2,P) 
element_mul(temp2,ID2,Y2);//ID2*Y2 
lID1*Y1+ID2*Y2 


element_add(temp3,temp1l,temp2); 


element_pairing(rightl,h,temp3); 


/ 左右 比较 


让 (element ， cpt en left1)) 


printf(" 


else{ 


Oe 由 
// 


用 户 2 签名 无 效 ! \n"); 


户 2 签 名 有 效 ! mn) 相同 
3 签名 ，S3 为 最 终 多 重 各 


E1724 签名 


element_mul(datal,ID3,X3); 


element_mul(temp5,datal,h); 


element_add(S3,S2,temp5); 


1/4. 多 重 签名 对 


丛 证 


element_pairing(left1,S3,P):;// e(S3,P) 
element_mul(temp5,ID3,Y3);//ID3*Y3 


element_add(temp6,temp3,temp5); 


element_pairing(rightl,h,temp6); 


} 
} 
效率 分 析 


通过 查阅 文献 ， 


并 


因此 本 文 只 与 


他 学 者 关于 多 重 短 签名 方案 的 碳 
其 他 多 重 签名 方案 进行 效率 分 析 。 表 2 为 


究 很 


| 


验 计 


[12] 方 案 相 比 ， 计 算 量 


本 文 方案 与 其 他 多 重 签名 方案 在 签 


名 和 验证 阶段 的 比较 ， 其 


中 p 表示 双 线性 对 运算 ，jy 表示 


表 2 可 见 ,本 文 方案 在 签名 阶段 需要 2 次 标量 
证 阶段 需要 1 次 标量 


来 运 


~“ 标 量 乘 运算 ， E 表示 指数 运 


等 : 一 种 适用 于 分 布 式 审 批 工 作 流 的 多 重 短 签名 方案 


es. 


能 和 签 


=19753509967734 
Sa67934588333183533489384436587885529586 
894928940925498591097934009822373251272468 
7996861694479465645124799348399624813728 
64?614909389791582819479509268891881133135 
320998954519421455341420979696091354944785 
Bt15363852809441694623999658784353912542797 
65412282217348465829397922979312934867?785 
53016844568470 
eh.ID1ixyY1+1D2xY2+1D3x*Y3> =1075358967?734 
Sa67934588333183533489384436587885529586 
6894928940925498591097934009822373251272468 
7996861694479465645124799348399624813728 
po4?61490380979158281094795092688091881133135 
320998954519421455341420976969601354944785 
B15363852809441694623999658784353912542797 
5412282217348465092939792297931293496.785 
>3016844568470 


耗 时 间 : @.238660。 
图 4 方案 实现 结果 


Fig.4 Scheme implementation results 
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因此 对 事务 繁琐 、 交 互 频繁 的 业务 系统 具 
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